Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w ElectricSQL /v1/shape API pozwala na wstrzyknięcie SQL przez parametr order_by. Uwierzytelniony użytkownik może odczytać, modyfikować i usuwać dane w bazie PostgreSQL.
W PJSIP w wersji 2.16 i wcześniejszych występuje przepełnienie bufora stosu w funkcji pjsip_auth_create_digest2() podczas używania wstępnie obliczonych poświadczeń typu digest. Funkcja kopiuje dane poświadczeń bez sprawdzenia górnej granicy długości, co może prowadzić do przepełnienia bufora ha1 o stałej wielkości (128 bajtów).
Podatność w produkcie Oracle Identity Manager Connector w Oracle Fusion Middleware (komponent: Core) dotyczy wersji 12.2.1.4.0. Umożliwia ona nieautoryzowanemu atakującemu z dostępem do sieci przez HTTPS kompromitację Oracle Identity Manager Connector, co może prowadzić do nieautoryzowanego tworzenia, usuwania lub modyfikacji danych.
Podatność w produkcie Oracle Identity Manager Connector w Oracle Fusion Middleware (komponent: Core) dotyczy wersji 12.2.1.4.0. Łatwo eksploatowalna podatność pozwala nieautoryzowanemu atakującemu z dostępem do sieci przez HTTPS na kompromitację Oracle Identity Manager Connector.
Podatność w produkcie Oracle Identity Manager Connector w Oracle Fusion Middleware (komponent: Core) dotyczy wersji 12.2.1.4.0. Łatwo eksploatowalna podatność pozwala nieautoryzowanemu atakującemu z dostępem do sieci przez HTTPS na kompromitację Oracle Identity Manager Connector.
Podatność w produkcie Oracle Enterprise Manager Base Platform, dotycząca zarządzania zdarzeniami, dotyczy wersji 13.5 i 24.1. Łatwo eksploatowalna podatność pozwala atakującemu z wysokimi uprawnieniami i dostępem do sieci przez HTTP na przejęcie Oracle Enterprise Manager Base Platform.
Podatność w produkcie Oracle Advanced Inbound Telephony w ramach Oracle E-Business Suite, dotycząca wersji 12.2.3-12.2.15. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTP, co może prowadzić do przejęcia Oracle Advanced Inbound Telephony.
W Esri Portal for ArcGIS w wersjach 11.4, 11.5 i 12.0 na systemach Windows, Linux oraz Kubernetes występuje luka związana z nieprawidłową autoryzacją, która nie sprawdza poprawnie uprawnień przypisanych do poświadczeń dewelopera.
W Esri Portal for ArcGIS 11.5 na systemy Windows i Linux występuje podatność związana z nieprawidłowym przypisaniem uprawnień, która pozwala użytkownikom z wysokimi uprawnieniami na tworzenie poświadczeń dewelopera, co może skutkować przyznaniem większych uprawnień niż oczekiwano.
goshs to prosty serwer HTTP napisany w Go, który przed wersją 2.0.0-beta.6 miał podatność ArtiPACKED. Ta podatność może prowadzić do wycieku GITHUB_TOKEN przez artefakty workflow, mimo że token nie jest obecny w kodzie źródłowym repozytorium.
W wersjach od 1.7.4 do przed 2.3.4, 3.5.7 i 3.6.2 platformy Vendure występuje podatność na nieautoryzowaną iniekcję SQL w API sklepu. Parametr zapytania kontrolowany przez użytkownika jest interpolowany bezpośrednio w surowym wyrażeniu SQL, co pozwala atakującemu na wykonanie dowolnych zapytań SQL w bazie danych.
goshs to prosty serwer HTTP napisany w Go. W wersjach przed 2.0.0-beta.6 występuje luka w autoryzacji SFTP, gdy używana jest dokumentowana składnia podstawowej autoryzacji z pustą nazwą użytkownika. Serwer uruchomiony z opcjami -b ':pass' oraz -sftp akceptuje tę konfigurację, ale nie instaluje żadnego handlera haseł SFTP.
Podatność w ASP.NET Core wynika z nieprawidłowej weryfikacji podpisu kryptograficznego, co umożliwia nieautoryzowanemu atakującemu zdalne podniesienie uprawnień w sieci.
FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólnej skrzynki pocztowej. Przed wersją 1.8.215, funkcja instalacji modułów w FreeScout rozpakowywała archiwa ZIP bez weryfikacji ścieżek plików, co pozwalało uwierzytelnionemu administratorowi na dowolne zapisywanie plików na systemie plików serwera za pomocą specjalnie przygotowanego archiwum ZIP. Wersja 1.8.215 naprawia tę podatność.
W podatności CVE-2026-5652 występuje niebezpieczne bezpośrednie odniesienie do obiektu w komponencie API użytkowników Crafty Controller, co pozwala zdalnemu, uwierzytelnionemu atakującemu na wykonywanie działań modyfikacji użytkowników z powodu niewłaściwej walidacji uprawnień API.
W excel-mcp-server, który jest serwerem Model Context Protocol do manipulacji plikami Excel, występuje podatność na traversję ścieżki w wersjach do 0.1.7. Atakujący bez uwierzytelnienia może zdalnie odczytywać, zapisywać i nadpisywać dowolne pliki na systemie plików hosta, wykorzystując odpowiednio skonstruowane argumenty ścieżki.
FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólna skrzynka pocztowa. W wersjach przed 1.8.213 występuje podatność na masowe przypisanie w ustawieniach połączenia skrzynki pocztowej, co pozwala uwierzytelnionemu administratorowi na nadpisanie krytycznych pól modelu Mailbox.
CrowdStrike wydał aktualizacje zabezpieczeń w celu usunięcia krytycznej podatności na nieautoryzowany dostęp do systemu plików (CVE-2026-40050) w LogScale. Podatność ta dotyczy tylko klientów hostujących określone wersje LogScale i nie wpływa na klientów Next-Gen SIEM.
W urządzeniu Tenda W30E V2.0 w wersji V16.01.0.21 zidentyfikowano podatność na wstrzykiwanie poleceń w funkcji formSetUSBPartitionUmount poprzez parametr usbPartitionName. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą odpowiednio skonstruowanego żądania.
FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólnej skrzynki pocztowej. W wersjach przed 1.8.213, nieautoryzowany atakujący może uzyskać dostęp do narzędzi diagnostycznych i systemowych, które powinny być zastrzeżone dla administratorów, co prowadzi do ujawnienia wrażliwych informacji o serwerze oraz możliwości wyczerpania zasobów.

